themuck
Goto Top

DHCP Snooping + OPNSense DHCP Relay (Netgear)

Hallo,
Ich hab hier ein kleines Netz mit 4 VLans und einem Windows DHCP Server. Eine OPNSense übernimmt das DHCP Relay.

Ich würde jetzt gerne DHCP Snooping an den Switchen Aktiviren:

https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configurati ...

1. Ich Aktiviere also den DHCP-Snooping-Modus
2. Ich Setze die VLans auf Enable
3. Ich setze den Port auf Trust an dem der DHCP -Server hängt.

Bei 3. die Frage, den Port an dem der DHCP Hängt oder auch der Port des DHCP-Relay, also die OPNsense, oder nur der Port der OPNsense?

Des weiteren haben wir am "Hauptswitch" noch weitere Switche, sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?

Rate Limit(pps) und Burst Interval(secs) nimmt man das was Netgear im Bild eingestellt hat?

Danke und Grüße

Content-Key: 34080710089

Url: https://administrator.de/contentid/34080710089

Printed on: December 6, 2023 at 05:12 o'clock

Member: aqui
aqui Aug 23, 2023 updated at 06:40:22 (UTC)
Goto Top
Bei 3. die Frage, den Port an dem der DHCP Hängt
Ja, einzig nur der Port an dem der DHCP Server hängt. Die Requests werden ja immer geforwardet aber die Replies (Server) werden an untrusted Ports immer geblockt. Man will ja gerade verhindern das "wilde" DHCP Server Chaos ins Netz bringen. face-wink
sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Ja, das ist auch richtig. Es muss nur an den Uplinks der Access Switches gemacht werden. Ist ja quasi genau das gleiche Szenario wie am Hauptswitch wo der DHCP Serverport auf Trusted gesetzt wird.
Aus Sicht des Access Switches kommen ja die DHCP Replies am Uplink Port an und dort muss der Port auf Trusted gesetzt sein damit die Replies inbound passieren dürfen. Ist quasi so als ob der Server am Uplink Port ist. Einfache Logik... face-wink
Member: themuck
themuck Aug 23, 2023 at 10:04:36 (UTC)
Goto Top
Danke,
ich muss mich dann noch mal mit DHCP beschäftigen ;).

https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...

Bedeutet also, ich fasse das mal für mich zusammen :D. Die Clients schicken eine DHCP anfrage ins Netz. Alle DHCP Server hören auf Port 67 zu und geben auch eine Antwort. Der Switch mit DHCP Snooping lässt aber nur die Antwort des "Trusted" ports zu. Damit diese Antwort dann auch bei den anderen ankommt muss jeweils auch hier der Port die Antwort zu lassen... Okay. Sorry, aber macht Sinn :D.

Danke dir.
Member: aqui
aqui Aug 23, 2023 at 16:33:35 (UTC)
Goto Top
Alles richtig zusammengefasst! ­čĹŹ
Guckst du auch hier.